オープンソースの脆弱性データベース OSVDB リーダー Jake Kouns インタビュー(メール取材) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

オープンソースの脆弱性データベース OSVDB リーダー Jake Kouns インタビュー(メール取材)

特集 特集

 OSVDB(OPEN SOURCE VULNERABILITY DATABASE)は、ボランティアベースのセキュリティホールに関する広範なデータベースであり、無償で提供されている。
 ベンダや特定の組織のバイアスのかからない独立したデータベースなっている。多くのセキュリティコミュニティにこのデータベースが活用されることを目的としている。
 単体としての利用以外に、オープンソースのセキュリティスキャナのデータベースとしても活用されている。

オープンソース脆弱性データベースの公開(2004.4.13)
https://www.netsecurity.ne.jp/article/2/12781.html


 セキュリティホールに関するデータベースはさまざまなものが存在するが、それらは基本的に有料であり、年間利用料金が100万円を超えるものも少なくない。大手企業以外ではこうした有料のデータベースを活用することは困難といえる。OSVDBのように無償で活用することのできるデータベースは貴重である。
 残念ながら日本語版はまだない。

 その目的やプロジェクトの詳細については下記のドキュメントにくわしい。

OSVDB Aims
http://www.osvdb.org/OSVDB-Aims.php

OSVDB Objective
http://www.osvdb.org/OSVDB-Objectives.php

 今回は、OSVDB のリーダーである Jake Kouns 氏にお話しをうかがった。
 TCP Reset Attacks( http://www.osvdb.org/4030 )の対応でご多忙中にも関わらず、迅速かつていねいに対応していただけました。


>> OSVDBの体制について

 編集部:OSVDBの体制についてはWEB上に記載( http://www.osvdb.org/about.php )がありますが、もう少しくわしくお聞きできますか?

jake :4名のリーダーがモデレータとして活動しています。開始のアナウンスをした時点では10名から20名の "mangler" (情報収集活動を行う協力者)がいました。現在は70名以上に増加しています。活動している "mangler" は、われわれのWEB上にリストとして掲載しています。

編集部:カバーしている範囲は、やはり英語のものに限られるのでしょうか?

jake :いまのところ、すべての "mangler" は英語で記述されている脆弱性だけを扱っていますが、"mangler" そのものは世界中に散らばっています。OSVDBのバックエンド部隊は、どの言語でも扱えるようになっています。

編集部:ところで、日本人の "mangler" はいますか?

jake :日本人らしい人はいないですね。

編集部:日本人が "mangler"になりたいと思ったら、どうすればいいですか?

jake :このURLでアカウントを登録してもらえれば "mangler" になれます。
    http://www.osvdb.org/newuser.php


>> 脆弱性情報に関して

編集部:脆弱性発見者とベンダの間のコーディネーションを行うような活動も行っているということですが、同様の機能をもつ機関として CERT/CC があります。両社の違いはどのへんでしょうか?

jake :いまのところ、まだコーディネーション機能は実現していませんが、今後実現する予定です。
OSVDBプロジェクトは、CERTとよく似ています。我々のサービスとCERTのサービスは連携することでより価値があがるのではないかと感じています。
多くの研究者はすでにOSVDBに新しく発見した脆弱性情報を送ってきています。我々は情報公開についての倫理的な取り決めや脆弱性発見者がベンダと脆弱性公表のタイミングなどについて調整する負担をとりのぞく手助けが必要だと思っています。これらの課題を整理できると、CERTとのシナジーの出し方も見えてくると思います。
来月には詳細な内容を発表できると思います。


(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×